Wireguard
WireGuard® - чрезвычайно простой, но быстрый и современный VPN, в котором используется самая современная криптография.
Предупреждение
Поддержка WireGuard является экспериментальной и должна использоваться с осторожностью.
Данный плагин совместим во всеми реализациями WireGuard® в других операционных системах и устройствах.
Ниже будет приведен пример настройки двух устройств TING в режиме Site-to-Site со следующими соглашениями:
Устройство 1:
Имя |
TING-1 |
IP адрес WAN-интерфейса |
192.168.100.1 |
IP адрес LAN-интерфейса с подсетью |
172.16.1.1/24 |
IP адрес WireGuard тунеля |
10.0.0.1 |
Подсеть Wireguard тунеля |
/24 |
Порт прослушивания |
51820 |
Устройство 2:
Имя |
TING-2 |
IP адрес WAN-интерфейса |
192.168.200.1 |
IP адрес LAN-интерфейса с подсетью |
172.16.2.1/24 |
IP адрес WireGuard тунеля |
10.0.0.2 |
Подсеть Wireguard тунеля |
/24 |
Порт прослушивания |
51820 |
Необходимо настроить тунель WireGuard с маршрутизацией LAN-подсетей устройств.
1. Установка плагина
На обоих устройствах пройдите в раздел Система -> Прошивка -> Обновления. На вкладке Плагины нажмите на кнопку + напротив плагина os-wireguard для его установки.
2. Настройка серверной части
На устройстве TING-1:
Пройдите в раздел VPN -> WireGuard -> Локальный
Нажмите + для добавления нового подключения.
Заполните необходимые параметры:
Поле
Значение
Описание
Включен
Включено
Включить сервер
Имя
TING-1
Имя данного соединения
Открытый ключ
Пусто
Открытый ключ шифрования [1]
Закрытый ключ
Пусто
Закрытый ключ шифрования [1]
Порт прослушивания
51820
Порт, на которм данный сарвер будет принимать подключения
DNS-сервер
Пусто
Разделенный запятой список IP-адресов, которые будут установлены в качестве DNS-серверов для данного соединения
Адрес туннеля
10.0.0.1/24
Список IP-адресов с подсетями, которые будут использоваться для настройки внутри тунеля
Пиры
Пусто
Список пиров (клиентов), которые будут подключаться к данному серверу [2]
Отключить маршруты
Выключено
Отключить добавление маршрутов
Нажмите кнопку Сохранить.
Откройте только-что созданное подключение и убедитесь, что поля Открытый ключ и Закрытый ключ успешно сгенерированы и заполнены.
Проделайте аналогичную настройку на устройстве TING-2 за исключением следующих значений:
Поле
Значение
Описание
Имя
TING-2
Имя данного соединения
Адрес туннеля
10.0.0.2/24
Список IP-адресов с подсетями, которые будут использоваться для настройки внутри тунеля
3. Настройка клиентской части (Peer)
На устройстве TING-1:
Пройдите в раздел VPN -> WireGuard -> Конечная точка
Нажмите + для добавления нового подключения.
Заполните необходимые параметры:
Поле
Значение
Описание
Включен
Включено
Включить конечную точку
Имя
TING-2
Имя подключения
Открытый ключ
Открытый ключ шифрования устройства TING-2 из раздела VPN -> WireGuard -> Локальный на предыдущем шаге
Открытый ключ шифрования
Общий секретный ключ
Пусто
Общий секретный ключ [3]
Разрешенные IP-адреса
10.0.0.2/32,172.16.2.0/24
Перечень адресов/сетей, которые необходимо маршрутизировать к данному пиру
Адрес конечной точки
192.168.200.1
Адрес, на котором сарвер принимает подключения [4]
Порт конечной точки
51820
Порт, на котором сервер принимает подключения [4]
Постоянное соединение
Пусто
Период интервала keepalive (секунды) [5]
[3] Общий секретный ключ может применяться для повышения стойкости шифрования.Для его создания необходимо воспользоваться командной строкой:wg genpskПримечание
Содержимое общего секретного ключа должно совпадать на обоих устройствах.
[4] (1,2) Если данное устройство используется в качестве сервера (принимает входящее подключение), то данное поле может быть пустым.
[5] Постоянное соединение (KeepAlive) применяется при настройке подключения к серверу, находящемуся за НАТ с использованием проброса портов.
Нажмите кнопку Сохранить.
Проделайте аналогичную настройку на устройстве TING-2 за исключением следующих значений:
Поле
Значение
Описание
Имя
TING-1
Имя подключения
Открытый ключ
Открытый ключ шифрования устройства TING-1 из раздела VPN -> WireGuard -> Локальный на предыдущем шаге
Открытый ключ шифрования
Разрешенные IP-адреса
10.0.0.1/32,172.16.1.0/24
Перечень адресов/сетей, которые необходимо маршрутизировать к данному пиру
Адрес конечной точки
192.168.100.1
Адрес, на котором сарвер принимает подключения
4. Донастройка серверной части.
На устройстве TING-1:
Пройдите в раздел VPN -> WireGuard -> Локальный
Откройте свойства созданного нами подключения TING-1.
В выпадающем списке Пиры выберите созданный на предыдущем шаге пир (TING-2)
Нажмите кнопку Сохранить
Аналогичным способом выполните донастройку серверной части на устройстве TING-2.
В выпадающем списке Пиры выберите созданный на предыдущем шаге пир (TING-1)
5. Включение плагина.
Перейдите в раздел VPN -> WireGuard -> Общие
Включите флажок Включить WireGuard.
Нажмите кнопку Сохранить
6. Добавление интерфейса.
На устройстве TING-1:
Пройдите в раздел Интерфейсы -> Назначения портов
Добавьте в систему вновь созданный интерфейс wg[X].
Нажмите кнопку Сохранить
Пройдите в раздел Интерфейсы -> [OPT1]
Включите флажок Включить Интерфейс.
Нажмите кнопку Сохранить, затем Применить изменения
Аналогичным способом выполните добавление интерфейса на устройстве TING-2.
7. Настройка межсетевого экрана.
На устройстве TING-1:
Перейдите в раздел Межсетевой экран->WAN
Добавьте правило, разрешающие входящий трафик с IP адреса WAN интерфейса устройства TING-2
192.168.200.1
на порт прослушивания51820
по протоколуUDP
.Нажмите Сохранить.
Перейдите в раздел Межсетевой экран->OPT1 [6]
[6] OPT1 - имя интерфейса, созданного на предыдущем шаге
Добавьте правило, разрешающее трафик
Нажмите Сохранить.
Перейдите в раздел Межсетевой экран->WireGuard
Добавьте правило, разрешающие входящий трафик с отправителем
WireGuard сеть
Нажмите Сохранить.
Если необходимо выполнять исходящее преобразование портов (NAT):
Перейдите в раздел Межсетевой экран-> NAT-> Исходящий
Добавьте правило, где в качестве Интерфейса выберите созданный ранее интерфейс
OPT1
, в качестве IP-адрес источника выберитеWireGuard сеть
Нажмите Сохранить.
Нажмите кнопку Применить изменения
На устройстве TING-2:
Перейдите в раздел Межсетевой экран->WAN
Добавьте правила, разрешающие входящий трафик с IP адреса WAN интерфейса устройства TING-1
192.168.100.1
на порт прослушивания51820
по протоколуUDP
.Нажмите Сохранить.
Выполните дальнейшую настройку аналогично устройства TING-1
Нажмите кнопку Применить изменения
8. Настройка маршрутизации.
Если вам достаточно маршрутизации сетей, прописанных выше в настройках клиентской части (Peer),
10.0.0.0/24,172.16.1.0/24,172.16.2.0/24
- для устройств TING-1 и TING-2 соответственно,то вы можете более ничего не настраивать - данная маршрутизация добавляется автоматически при настройке интерфейса WireGuard.
Если же вам необходима дополнительная настройка маршрутизации, либо вы хотите использовать данный тунель в качестве маршрута по умолчанию, то вам необходимо:
Добавить шлюз - для этого:
Перейдите в раздел Система-> Шлюзы-> Одиночный
Нажмите кнопку Добавить
В качестве Интерфейса выберите созданный ранее интерфейс
OPT1
( если вы хотите использовать данный шлюз, как шлюз по умолчанию - отметьте соответствующий пункт)Нажмите Сохранить
Добавить маршрут(ы) - для этого:
Перейдите в раздел Система-> Маршруты-> Конфигурация
Нажмите кнопку Добавить
Пропишите необходимые для маршрутизации сети.
В качестве Шлюза выберите созданный ранее шлюз.
Нажмите Сохранить